TACACS+协议工作原理及双因素双因子认证应用

已于 2024-01-06 17:33:24 修改
阅读量362 收藏 1
点赞数 1
文章标签: web安全 安全 网络
于 2023-08-03 11:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangluoanquan111/article/details/132065819
版权

之前写过一篇《Radius协议认证原理及双因素/双因子认证应用》,TACACS+协议和Radius协议都是AAA协议的一种,核心作用都是认证(Authentication)、授权(Authorization)和计费(Accounting),和Radius协议的区别是:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nFwsjWdE-1690965103231)(https://image.3001.net/images/20220620/1655691674_62afd99a5af064cb4dcfc.png!small?1655691675768)]

** TACACS** ** +** ** 和Radius一样也是C/S架构**

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-t3TmuPNo-1690965103233)(https://image.3001.net/images/20220620/1655691682_62afd9a2cdb4c205f6ebe.png!small?1655691682858)]

图中NAS(网络接入服务器)作为TACACS+客户端,向远程接入用户提供接入及与TACACS+服务器交互的服务。TACACS+服务器上则存储用户的身份信息、授权信息以及访问记录,对用户进行认证、授权和计费服务。

** TACACS** ** +** ** 工作原理**

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iryE9Sgu-1690965103234)(https://image.3001.net/images/20220620/1655691689_62afd9a9b6d8c9bc9cdb5.png!small?1655691689937)]

1、Telnet用户请求登录设备。

2、TACACS+客户端收到请求之后,向TACACS+服务器发送认证开始报文。

3、TACACS+服务器发送认证回应报文,请求用户名。

4、TACACS+客户端收到回应报文后,向用户询问用户名。

5、用户输入用户名。

6、TACACS+客户端收到用户名后,向TACACS+服务器发送认证持续报文,其中包括了用户名。

7、TACACS+服务器发送认证回应报文,请求登录密码。

8、TACACS+客户端收到回应报文,向用户询问登录密码。

9、用户输入密码。

10、TACACS+客户端收到登录密码后,向TACACS+服务器发送认证持续报文,其中包括了登录密码。

11、TACACS+服务器发送认证回应报文,指示用户通过认证。

12、TACACS+客户端向TACACS+服务器发送授权请求报文。

13、TACACS+服务器发送授权回应报文,指示用户通过授权。

14、TACACS+客户端收到授权回应成功报文,向用户输出设备的配置界面。

15、TACACS+客户端向TACACS+服务器发送计费开始报文。

16、TACACS+服务器发送计费回应报文,指示计费开始报文已经收到。

17、用户请求断开连接。

18、TACACS+客户端向TACACS+服务器发送计费结束报文。

19、TACACS+服务器发送计费结束报文,指示计费结束报文已经收到。

TACACS+协议本身的优势非常明显,那么在双因素/双因子认证领域中如何应用?

** TACACS** ** +** ** ** ** 双因素/双因子认证** ** 领域中的应用**

TACACS+主要体现在网络设备中,Cisco设备使用的TACACS+协议,华为和华三设备使用的HWTACACS协议,功能一致,以HWTACACS为例:

** 配置hwtacacs服务器模板**

(在服务器模板下,指定与交换机对接的服务器的IP地址、端口号(默认为49)和共享密钥,交换机上的配置信息需要与服务器上的信息保持一致)

hwtacacs-server template ckey //建立“ckey”hwtacacs服务器模板

hwtacacs-server authentication xxx.xxx.xxx.xxx //认证服务器地址

hwtacacs-server authorization xxx.xxx.xxx.xxx //授权服务器地址

hwtacacs-server accounting xxx.xxx.xxx.xxx //审计服务器地址

hwtacacs-server shared-key cipher ****** //配置共享秘钥******

undo hwtacacs-server user-name domain-included //取消域名后缀,登录时不需要后缀域名

quit

** 配置AAA方案**

aaa

authentication-scheme ckey1 //创建认证方案ckey1

authentication-mode hwtacacs local //认证模式为hwtacacs认证,备份认证模式为本地认证

quit

authorization-scheme ckey2 //创建授权方案ckey2

authorization-mode hwtacacs local //授权模式为hwtacacs授权,备份授权模式为本地授权

authorization-cmd 15 hwtacacs local //用户级别授权

quit

accounting-scheme ckey3 //创建计费方案ckey3

accounting-mode hwtacacs //计费模式为hwtacacs计费(交换机没有本地计费)

accounting start-fail online //计费功能启动失败,允许用户上线

accounting interim-fail online //计费功能临时故障,允许用户上线

quit

注:需要在设备上配置本地用户,以确保在hwtacacs服务器故障的情况下,用户可以本地认证上线

** 配置本地用户**

aaa

local-user user1 password irreversible-cipher ****** //创建用户user1和密码

local-user user1 privilege level 15 //为user1用户授予15级权限

local-user user1 service-type telnet //授予user1 Telnet权限

quit

** 配置域**

(配置用户所属的域并在域下绑定AAA方案和服务器模板,默认情况下普通用户在default域内,管理员用户在default_admin内)

aaa

domain ckeydas //创建ckeydas域

authentication-scheme ckey1 //绑定ckey1认证方案

authorization-scheme ckey2 //绑定ckey2授权方案

accounting-scheme ckey3 //绑定ckey3计费方南

hwtacacs-server ckey //绑定ckey hwtacacs服务器模板

** 远程登入授权**

user-interface vty 0 4

authentication-mode aaa

  • 配置方法仅供参考,各设备各版本会有所不同,具体参考官方文档!

** 配合中科恒伦TACACS** ** +** ** 服务端,有几个非常大的优势:**

1、统一用户管理:直接在服务端增删改查用户;

1655691758_62afd9ee7b5cb40ad7905.png!small?1655691758699

2、统一认证:统一在服务端认证,服务端可启用双因素/双因子认证,即可安全登录;

1655691767_62afd9f7d0a33fbe0a3f5.png!small?1655691768502

3、统一授权:在服务端为不同用户分配不同的登录权限,并且可设置允许输入的命令,

1655691773_62afd9fd9a2d219f8310f.png!small?1655691773807

4、统一审计:详细记录xx用户在xx时间访问xx设备,并且详细记录该账号的操作命令;

1655691779_62afda03b68d6cc4d7c48.png!small?1655691780051

综合来看,TACACS+协议在双因素认证领域中的应用非常成熟,相对Radius协议控制更精细,所以正常情况下我更偏向使用TACACS+协议对接双因素认证。

103238)]

4、统一审计:详细记录xx用户在xx时间访问xx设备,并且详细记录该账号的操作命令;

[外链图片转存中…(img-JkoFTkCe-1690965103239)]

综合来看,TACACS+协议在双因素认证领域中的应用非常成熟,相对Radius协议控制更精细,所以正常情况下我更偏向使用TACACS+协议对接双因素认证。

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZdjEZCIC-1690965103240)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一:基础入门

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Uk4Y8syX-1690965103242)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二:技术进阶(到了这一步你才算入门)

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fZNW6gur-1690965103243)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三:高阶提升

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bqNzstqY-1690965103245)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四:蓝队课程

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-T228kC9X-1690965103246)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。

攻防兼备,年薪收入可以达到40w+

阶段五:面试指南&阶段六:升级内容

img

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

同学们可以扫描下方二维码获取哦!

什么是TACACS+协议
网络技术联盟站
04-19 637
TACACS+是一种用于网络认证、授权和账户服务的协议,通过提供分离的认证和授权功能,强大的加密保护和灵活的授权策略,帮助管理员实现对网络设备的安全访问控制和审计管理。
TACACS+协议工作原理双因素/双因子认证应用
全场景身份鉴别与统一管理提供商
06-20 800
之前写过一篇《Radius协议认证原理及双因素/双因子认证应用》,TACACS+协议和Radius协议都是AAA协议的一种,核心作用都是认证(Authentication)、授权(Authorization)和计费(Accounting),和Radius协议的区别是:TACACS+和Radius一样也是C/S架构图中NAS(网络接入服务器)作为TACACS+客户端,向远程接入用户提供接入及与TACACS+服务器交互的服务。TACACS+服务器上则存储用户的身份信息、授权信息以及访问记录,对用户进行认证、授权
TACACS+协议
microminor
04-26 5833
TACACS+协议 TACACS+是思科私有协议 TACACS+使用TCP的49端口进行通信 TACACS+使用会话的概念来定义执行认证,授权,统计的交换数据集,通常每个会话都有单独的连接,但多个会话可以复用到同一个TCP连接中 TACACS+头格式(12字节) major_version:主版本号,等于0xc minor_version:次要版本号,目的为了维护向后的兼容性,默认为
网络安全TACACS+协议
错位竞争,单点突破。
11-24 9599
1 TACACS+概述 1.1 什么是TACACS+ TACACS+(Terminal Access Controller Access Control System,终端访问控制器控制系统协议)是在TACACS协议的基础上进行了功能增强的安全协议。该协议与RADIUS协议的功能类似,采用客户端/服务器模式实现NAS与TACACS+服务器之间的通信。 1.2 TACACS+的用途 TACA
tacacs+协议分析
03-17
tacacs+ 协议分析
pam_tacplus:TACACS +协议客户端库和C中的PAM模块。此PAM模块支持使用Cisco设计的TACACS +协议执行的身份验证,授权(帐户管理)和计费(会话管理)
05-05
资金:如果您是pam_tacplus的商业用户,请考虑通过赞助该项目。 该代码库自90年代末以来一直存在,并且需要付出巨大的努力才能跟上现代环境的发展。 TACACS +客户端工具包 该存储库包含三个模块,通常用于执行对TACACS +服务器的请求: libtac核心TACACS +客户端库 pam_tacplus用于根据TACACS +对用户进行身份验证的模块 tacc一个简单的命令行TACACS +客户端 支持以下核心TACACS +功能: TACACS +名称 PAM名称 它能做什么 验证 认证 是他们要求的用户吗? 授权 帐户管理 用户有权使用X吗? 帐户 会话打开/关闭 记录服务的开始和结束 协议由Cisco Systems于90年代设计而成,旨在提供一种简单的方法来根据中央身份验证服务器验证连接到简单网络路由器(例如,通过PPP)的用户。 路由器可以发送有关身份验证(验
交换机(华为)双因素身份认证解决方案
m0_37462473的博客
09-27 3965
一、场景分析 在网络环境中,交换机是最重要的核心设备,是网络中的心脏,每天处理海量的文件信息,所以交换机的安全性至关重要。 二、问题分析 1、密码设置简单,非常容易被撞库破解; 2、密码设置复杂,非常容易忘记密码,增加网络管理员无意义工作; 3、设置统一或有规律的密码,一旦单点被破,极易引发全面危机; 4、定期更改密码,容易密码混淆,难以记住; 5、做密码本、存储位置容易泄漏,引发全面危机; 6、员工离职,需要修改密码,增加管理员工作量; 三、解决方法 采用CKEY DAS做密码加固
OA系统(海信集团)双因素身份认证解决方案
m0_37462473的博客
10-20 1083
一、场景分析 办公自动化(Office Automation,简称OA),是将计算机、通信等现代化技术运用到传统办公方式,它可以通过特定流程或特定环节与日常事务联系在一起,使公文在流转、审批、发布等方面提高效率,实现办公管理规范化和信息规范化,安全级别较高! 二、问题分析 1、密码设置简单,非常容易被撞库破解; 2、密码设置复杂,非常容易忘记密码,增加网络管理员无意义工作; 3、设置统一或有规律的密码,一旦单点被破,极易引发全面危机; 4、定期更改密码,容易密码混淆,难以记住; 5、做密码
堡垒机(360)双因素身份认证解决方案
m0_37462473的博客
09-24 2416
一、场景分析 堡垒机是一种在特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,安全级别极高! 二、问题分析 1、密码设置简单,非常容易被撞库破解; 2、密码设置复杂,非常容易忘记密码,增加网络管理员无意义工作; 3、设置统一或有规律的密码,一旦单点被破,极易引发全面危机; 4、定期更改密码,容易密码混淆,难以记住; 5、做密码本、存储位置容易泄漏,引发全面危机; 6、员
AAA协议配置自动化手册
接着,文中深入探讨了AAA协议的配置理论与实践,包括其工作原理安全考量、以及配置步骤和故障排除。文章进一步论述了AAA协议的高级配置,如多因素认证、授权规则和基于角色的访问控制策略,以及计费策略和账单管理...
AAA协议分类和设备登陆管理之Tacacs+Radius.doc
11-03
随着企业规模的不断扩大和信息化不断发展,日常需要配置和管理的网设备数量越来越多,而信息安全要求越来越高。网络设备不仅数量众多,设备也来自诸多不同厂家,包括思科,华为,迪普,迈普,山石网科、中兴通信等等。管理的工作量越来越多,难度越来越大,对工作人员的要求也越来越高。
H3C配置AAA、RADIUS和TACACS
05-29
H3C配置AAA、RADIUS和TACACS
AAA、RADIUS和TACACS+技术概述.pptx
10-12
AAA、RADIUS和TACACS+技术概述.pptx
TACACS+协议原理
niguodehaoma_的博客
07-18 3918
本文档介绍了(Terminal Access Controller Access-ControlSystem Plus )终端访问控制器访问控制系统增强版(TACACS +协议。它最初被构想为通用的身份验证,授权和计费(AAA)协议。它在当今得到了广泛的部署,但主要限于AAA(Authentication, Authorization and Accounting )的特定子集:设备管理,即:验证对网络设备的访问,提供操作的集中授权以及审核这些操作。
Tacscs-协议原理
曹世宏的博客
09-02 3812
参考资料:https://tools.ietf.org/html/draft-ietf-opsawg-tacacs-18 TACACS+ 简介 本文档介绍了(Terminal Access Controller Access-Control System Plus )终端访问控制器访问控制系统增强版(TACACS +协议。 它最初被构想为通用的身份验证,授权和计费(AAA)协议。 它在当今得到了广泛的部署,但主要限于AAA(Authentication, Authorization and Acco..
TACACS 协议简介与开发总结
fuyuande的博客
05-10 9387
这个项目来源于国外某运营商客户的需求,整个开发流程除了参考基本的tacacs+协议外,还借鉴了Github上一个类似项目的设计,下面介绍下协议的基本内容和开发注意事项以及对接测试环境的搭建。 目录 0. 协议简介 1. tacacs+消息头 2.1 认证报文: 2.2 认证响应报文: 3.1 授权请求报文: 3.2 授权响应报文: 4.1 计费请求报文: ...
RADIUS协议TACACS+协议对比
最新发布
ducanwang的博客
08-14 736
综上所述,RADIUS协议TACACS+协议各有优劣,选择哪种协议取决于具体的网络环境、安全需求和设备支持情况。在实际应用中,也可以考虑将两者结合使用,以充分发挥它们各自的优势。
Tacacs-协议交互报文抓包示例
曹世宏的博客
10-06 4811
其他文章: Tacacs+协议原理 Tacacs+服务搭建与配置详解 Tacacs+各厂商交换机配置 Tacacs+协议交互报文抓包示例 tacacs+协议报文抓包示例 如果使用wireshark对tacacs+报文进行抓包,需要将tacacs+服务器的tac_plus服务监听端口设置为49,这是为tacacs+分配的默认端口,TCP 49。 此时,会将TCP 49端口的报解码为tacacs+报文。否则,看到的都是TCP交互报文。 实验拓扑: 本次实验在eve-ng仿真环境中进行测试,可测试..
AAA、RADIUS、TACACS+、HWTACACS、802.1X
phoenix1415的博客
09-20 8993
在介绍AAA之前,先举一个生活的例子:一天,某个人来到一个公司的门岗,他想进入这家公司,门岗在查验此人的身份之前,不允许他进入公司。门岗通过后台系统,查询此人的身份,有以下几种情况:1、公司领导层立即放行,并且无条件无阻碍的访问公司的所有区域-生活区、生产区、实验区、仓储区、研发区等等。2、中层干部立即放行,只能访问公司的部分区域-关键性、核心、保密性区域之外的区域3、普通员工立即放行,只能访问公司的指定区域-生活区、生产区(研发人员只能进入研发区等)4、合作伙伴-供应商、经销商等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值